4. Przejawy cyberprzestępczości

Cyberprzestępczość zazwyczaj przejawia się poprzez ataki cybernetyczne, ale wiele ataków wymaga również wykorzystania aspektów czysto nietechnicznych, aby odnieść sukces.

Niektóre czyny zabronione w cyberprzestrzeni lub czyny związane z cyberprzestępczością można zakwalifikować na podstawie odpowiednich przepisów obowiązującego kodeksu karnego, ale istnieją pewne rodzaje czynów, których zakwalifikowanie jako przestępstwa może być znacznie trudniejsze lub wręcz niemożliwe (w wielu przypadkach są to po prostu czyny niemoralne).

Bardzo często cyberprzestępczość jest uważana za nowy rodzaj przestępstw, jednak znaczna część cyberprzestępczości wykorzystuje lub przenosi powszechnie znane rodzaje przestępstw (np. oszustwa, naruszenie praw autorskich, kradzież, nękanie itp.) do środowiska cyfrowego, gdzie można je popełnić "lepiej, szybciej i skuteczniej" niż w świecie rzeczywistym. Czyste ataki cybernetyczne mogą obejmować np. hakerstwo, ataki DoS i DDoS, botnety itp.

Charakterystyczne dla świata wirtualnego jest to, że większość użytkowników ma do niego - moim zdaniem - niezrozumiałe, niemal bezgraniczne zaufanie. Trzeba przyznać, że świat wirtualny staje się dla nas coraz ważniejszy. Osobiście uważam, że wiele osób przestaje myśleć o ewentualnym ryzyku lub zagrożeniach podczas korzystania z usług świadczonych w Internecie. Przede wszystkim urzekają ich pozornie nieskończone możliwości "nowych technologii"; jak inaczej można wytłumaczyć brak podstawowych zasad i mechanizmów obronnych w świecie wirtualnym, skoro w świecie rzeczywistym zachowywalibyśmy się zupełnie inaczej. Z drugiej strony, czasami użytkownicy cyberprzestrzeni przypominają mi "Dziwny przypadek doktora Jekylla i pana Hyde'a" [oryg. Dziwny przypadek doktora Jekylla i pana Hyde'a - Robert Louise Stevenson (1886)]. Pozornie przyzwoici ludzie w świecie rzeczywistym, w "pseudoanonimowym" środowisku cyberprzestrzeni wyrażają siebie bez żadnych ograniczeń prawnych czy moralnych. Można więc na przykład natknąć się na przypadek sędziego, który pobiera "pornografię dziecięcą"[1] , użytkowników, którzy nigdy nie ukradli niczego w świecie rzeczywistym, ale nie mają problemu z kradzieżą w świecie wirtualnym[2] , lub naruszających inne prawa chronione przez prawo danego kraju.

W przeszłości wielu czołowych ekspertów wypowiadało się na temat prognoz dotyczących cyberprzestępczości, w tym Schneier, który w 2002 r. przewidywał, że przestępczość będzie kolejnym dużym trendem w dziedzinie bezpieczeństwa w Internecie. "Nie będą to już wirusy, trojany i ataki DDoS przeprowadzane dla zabawy lub w celu popisania się swoimi umiejętnościami. Będzie on dotyczył prawdziwych przestępstw. Internet. Przestępcy zwykle pozostają w tyle za rozwojem technologii o pięć lub dziesięć lat, ale w końcu zdadzą sobie sprawę z jej możliwości. Tak jak Willie Sutton zaczął napadać na banki, "bo tam były pieniądze", tak współcześni przestępcy zaczną atakować za pośrednictwem sieci komputerowych. Coraz większa wartość (funduszy) jest w Internecie niż w prawdziwych pieniądzach". [3]


W 2007 r. FBI przedstawiło statystykę, w której porównano zwykły "napad na bank" (rabunek) z czynem o charakterze ataku phishingowego.[4]

Parametr

Średnia liczba napadów z bronią w ręku

Przeciętny atak cybernetyczny

Ryzyko

Sprawca ryzykuje, że zostanie ranny lub zabity.

Brak ryzyka uszkodzenia ciała

Zysk

Średnio 3 - 5 tys. USD.

Średnio 50 - 500 tys. USD.

Prawdopodobieństwo schwytania

50-60% napastników zostaje trafionych.

Trafiono około 10% napastników.

Prawdopodobieństwo skazania

95% schwytanych napastników zostało skazanych.

Spośród tych, którzy zostali złapani, tylko 15% napastników staje przed sądem, a tylko 50% z nich zostaje skazanych.

Zaufanie

Średnio 5 - 6 lat, jeśli sprawca nie zranił nikogo podczas napadu.

Średnio od 2 do 4 lat.

W 2012 roku Goodman stwierdza w odniesieniu do technologii informacyjno-komunikacyjnych, że "zdolność jednostki do wpływania na masy dzięki tym technologiom rośnie w postępie geometrycznym. Rośnie w tempie wykładniczym zarówno w "dobrym, jak i złym celu". Ilustracją tego wzrostu jest rozwój przestępczości rozbójniczej, która w przeszłości polegała początkowo tylko na posługiwaniu się nożem lub pistoletem, a de facto na rozbojach dokonywanych przez pojedyncze osoby lub małe grupy. "Poważna 'innowacja' miała miejsce, gdy cały pociąg został obrabowany z 200 osób". Internet pozwala na przeprowadzenie ataku na jeszcze większą skalę przez pojedynczą osobę. Kradzież dużej liczby użytkowników dobrze ilustruje sprawa Sony Playstation z około 100 milionami ofiar: "Kiedy w historii ludzkości ktoś mógł okraść 100 milionów ludzi? Ale to nie jest tylko kradzież...".[5]

W tym samym roku dyrektor FBI Robert S. Mueller wygłosił przemówienie na konferencji RSA Cyber Security Conference (San Francisco, Kalifornia), w którym stwierdził między innymi: "Jestem przekonany, że istnieją tylko dwa rodzaje firm: te, które już zostały zhakowane, i te, które dopiero zostaną zhakowane. A nawet te dwie grupy bardzo szybko łączą się w jedną kategorię: firmy, których systemy zostały zhakowane i firmy, które zostaną zhakowane ponownie". [6]

Obecnie mamy do czynienia z coraz większym i masowym połączeniem różnych systemów komputerowych w cyberprzestrzeni, co de facto generuje bezpośrednią proporcjonalność polegającą na następującym stwierdzeniu "im więcej połączonych urządzeń, tym większa ich podatność na ataki i tym większa liczba ataków". Graficzne przedstawienie trwających ataków można znaleźć na stronach: http://map.norsecorp.com/#/; https://cybermap.kaspersky.com/; https://map.lookingglasscyber.com/ itd.

Uważam, że nie ma wątpliwości co do tego, że cyberprzestępczość rośnie i jest problemem globalnym. Różne statystyki podają częściowo różne szkody spowodowane przez cyberprzestępczość, ale nie zmienia to faktu, że wszystkie one obejmują szkody pierwotne (np. nieprawidłowe działanie systemu komputerowego, jego części, oferowanych usług, awarię infrastruktury itp.) oraz szkody wtórne (np. odzyskiwanie systemów, ratowanie danych, ponowne podłączenie użytkowników końcowych itp. Europol w swoim raporcie z 2014 r.[7] podaje, że cyberprzestępczość kosztuje światową gospodarkę około 300 miliardów dolarów rocznie. Od czasu masowego rozpowszechnienia Internetu społeczność atakujących znacznie się zmieniła. Przede wszystkim nie są to już osoby, które popełniały nielegalne czyny dla zabawy lub pokonania przeszkód. Obecnie są to zazwyczaj profesjonaliści, którzy wykonują swoją pracę dla zysku i często działają w zorganizowanych grupach.

Zmiana ta jest zrozumiała i nieodłącznie związana z trzema aspektami:

1)    Zależność społeczeństwa od Internetu (lub usług, technologii itp.),

2)    Cyberprzestępczość stała się lukratywnym globalnym biznesem [już pierwsze ataki cybernetyczne pokazały możliwość osiągnięcia korzyści finansowych, zarówno bezpośrednich (poprzez wyłudzanie środków finansowych), jak i pośrednich (np. poprzez płacenie za uszkodzenie usługi innej osoby)].

3)    Minimalne umiejętności czytania i pisania użytkowników korzystających z technologii informacyjno-komunikacyjnych (użytkownik jest typowym przykładem najsłabszego ogniwa w łańcuchu).

Wraz z rozwojem wszelkiego rodzaju usług opartych na zasadzie as-a-service[8] , w środowisku cyberprzestępczym pojawiło się wiele platform (zazwyczaj podziemnych, darknetowych forów), na których oferowane są usługi, które można określić jako Crime-as-a-service (cyberprzestępczość jako usługa). Powstaje zatem "złośliwe oprogramowanie lub szara strefa", w której niemal każdy użytkownik może popełnić cyberprzestępstwo. Domyślnie oferowane są następujące usługi, określane zbiorczo jako "przestępczość jako usługa" (crime-as-a-service):

-       Badania jako usługa (Research-as-a-service),[9]

-       Crimeware-as-a-service,[10]

-       Infrastruktura jako usługa (Infrastructure-as-a-service),[11]

-       Hakowanie jako usługa,[12]

-       Dane jako usługa (Data-as-a-service),[13]

-       Spam jako usługa,[14]

-       Ransomware-as-a-service i.

Lista poszczególnych usług nie jest wyczerpująca i można stwierdzić, że w ramach przestępczości jako usługi można zamówić każdą możliwą usługę lub towar, który można wykorzystać lub uzyskać w cyberprzestrzeni. Wzrost tych negatywnych działań jest również bezpośrednio związany ze zjawiskiem Internetu Rzeczy (IoT), który łączy urządzenia (systemy komputerowe) z Internetem, a tym samym stanowi kolejne istotne zagrożenie, polegające przede wszystkim na nieprzestrzeganiu jednej z podstawowych zasad bezpieczeństwa.

Wielu producentów i dystrybutorów systemów komputerowych, które można zaklasyfikować jako IoT, nie zajmuje się kwestią bezpieczeństwa (ich celem jest wprowadzenie na rynek i sprzedaż jak największej liczby urządzeń, które można zaklasyfikować jako system komputerowy), co wykorzystują atakujący.

Koszty związane z rozwojem bezpieczeństwa są zwykle najdroższą częścią rozwoju, ale jest to obszar, którym należy się zająć nawet w obliczu znanych zagrożeń. Przykłady to: niezabezpieczony kanał komunikacyjny rozrusznika serca[15] ; samochód lub samolot, którym można zdalnie sterować[16] ; inteligentny dom lub jego elementy (lodówka, bojler, system bezpieczeństwa, telewizor itp.), którymi można zdalnie sterować[17] itp.

"Zastanawiam się, jak potoczą się losy świata, w którym już w tym roku będziemy korzystać z 6,4 mld urządzeń IoT. W ciągu najbliższych czterech lat liczba ta powinna wynieść 20,8 mld urządzeń. Co więcej, wiele z tych urządzeń będzie miało znacznie dłuższą żywotność w porównaniu z normalnym cyklem życia telefonów komórkowych, tabletów czy laptopów. W jaki sposób producenci samochodów będą w stanie zapewnić bezpieczeństwo modelu z 2020 roku dziesięć lat później? A może lodówka, która wytrzyma w Twoim domu dobre piętnaście lat? Ile czasu zajęło firmie Microsoft nauczenie się, jak aktualizować swój własny system operacyjny?".[18]

Schneier twierdzi, że atakujący mogą zrobić z danymi zasadniczo trzy podstawowe rzeczy: ukraść je (naruszając zasadę poufności), zmienić (naruszając zasadę integralności) lub uniemożliwić właścicielom dostęp do nich (naruszając zasadę dostępności). Schneier twierdzi, że wraz z pojawieniem się IoT to właśnie te dwa ostatnie rodzaje ataków staną się niezwykle skuteczne.[19]

W dalszej części artykułu przedstawię niektóre ataki występujące w cyberprzestrzeni. Nie jest możliwe zdefiniowanie wszystkich ataków, zarówno ze względu na zakres niniejszej publikacji, jak i na brak możliwości opisania wszystkich możliwych alternatywnych zachowań, które można by objąć terminem cyberprzestępczość. Tam, gdzie jest to możliwe, wskazana zostanie ewentualna kwalifikacja karna takiego zachowania w odniesieniu do konkretnego przejawu cyberprzestępczości.



[1] Sędzia, 69-latek, który ściągał dziecięce porno, narażony na "katastrofalne upokorzenie". Dostępne pod adresem: http://news.sciencemag.org/social-sciences/2015/02/facebook-will-soon-be-able-id-you-any-photo

[2] HILL, Kaszmir. Ci dwaj gracze Diablo III ukradli wirtualną zbroję i złoto - i zostali oskarżeni w IRL [online]. [cyt. 2015-08-10]. Dostępne od:

 http://fusion.net/story/137157/two-diablo-iii-players-now-have-criminal-records-for-stealing-virtual-items-from-other-players/

[4] JIROVSKÝ, Václav. Cyberprzestępczość to nie tylko hakerstwo, cracking, wirusy i trojany bez tajemnic. Praga: Grada, 2007, s. 30.

[5] Więcej szczegółów w: GOODMAN, Marc. Wizja przestępczości w przyszłości [online]. Dostępne pod adresem: https://www.ted.com/talks/marc_goodman_a_vision_of_crimes_in_the_future#t-456071

[7] Zob. The Internet Organised Crime Threat Assessment (iOCTA) 2014 [online]. Dostępne pod adresem: https://www.europol.europa.eu/content/internet-organised-crime-threat-assesment-iocta

[8]Jest to świadczenie usług typowo związanych z rozwiązaniem chmurowym. Przykłady to: infrastruktura jako usługa, platforma jako usługa, usługa jako usługa, bezpieczeństwo jako usługa itp.

[9] Dzięki tej usłudze można sobie wyobrazić działania polegające na wykrywaniu różnych, nieznanych wcześniej luk w zabezpieczeniach docelowego systemu komputerowego lub oprogramowania (luki te są znane jako luki typu zero-day).

Sama działalność Research-as-a-Service nie musi być przestępcza ani nielegalna. Wykrywaniem podatności i błędów zajmuje się wielu specjalistów ds. bezpieczeństwa IT (np. testy penetracyjne itp.). Zazwyczaj usługi te są świadczone na podstawie warunków umowy między podmiotem testującym a testerem lub z wykorzystaniem jakichś okoliczności wykluczających nielegalność.

[10] Usługa "crimeware-as-a-service" oferuje szereg działań, począwszy od zwykłej sprzedaży złośliwego oprogramowania, poprzez "dostosowywanie" go do potrzeb użytkownika, aż po dostarczanie exploitów (luk w zabezpieczeniach) itp.

[11] Infrastruktura jako usługa to oferta fizycznych lub wirtualnych systemów komputerowych (botnety, usługi hostingowe, wynajem sieci itp.).

[12] Usługa ta może polegać na zwykłym złamaniu danych dostępowych do poczty elektronicznej, konta w sieci społecznościowej itp. do profesjonalnych i wyrafinowanych ataków na wybraną ofiarę. Obszar ten może również obejmować np. przeprowadzanie ataków DoS i DDoS.

[13] Data-as-a-service oferuje towar, na który jest największy popyt, czyli dane. W szczególności są to: dane dostępowe (nazwa użytkownika i hasło) do różnych kont, karty kredytowe, konta bankowe, skradzione karty kredytowe, a także informacje o osobach (miejsce zamieszkania, daty urodzenia, numery telefonów, wiadomości e-mail itp.)

[14] Nazwa wskazuje na możliwość subskrypcji i opłacenia kampanii spamowej.

[15] Por. TAYLOR, Harriet. W jaki sposób "Internet rzeczy" może okazać się zgubny. [online]. Dostępne pod adresem: http://www.cnbc.com/2016/03/04/how-the-internet-of-things-could-be-fatal.html

[16] Więcej szczegółów w: GREENBERG, Andy. Hakerzy zdalnie przechwycili Jeepa na autostradzie - ze mną w środku. [online]. Dostępne pod adresem: https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

Wersja w języku czeskim jest dostępna m.in. na stronie: http://auto.idnes.cz/hackeri-unesli-jeep-dalkove-ovladani-auta-f1l-/automoto.aspx?c=A150723_135910_automoto_fdv.

Więcej informacji na ten temat można znaleźć w publikacji ZETTER, Kim. Czy pasażerowie mogą włamać się do samolotów komunikacyjnych? [online]. Dostępne pod adresem: https://www.wired.com/2015/05/possible-passengers-hack-commercial-aircraft/

[17] Możliwe jest na przykład ominięcie zabezpieczeń domowych, podniesienie temperatury za pomocą zdalnie sterowanego termostatu i wyrządzenie krzywdy innym osobom, zamawianie nieuzasadnionych ilości jedzenia za pomocą "inteligentnej" lodówki itp.

[18] DOČEKAL, Daniel. Bruce Schneier: Internet rzeczy przyniesie ataki, których nie jesteśmy w stanie sobie wyobrazić. [online]. Dostępne pod adresem: http://www.lupa.cz/clanky/bruce-schneier-internet-veci-prinese-utoky-ktere-si-neumime-predstavit/

[19] SCHNEIER, Bruce. Internet rzeczy zmieni wielkie włamania w prawdziwe katastrofy. [online]. Dostępne pod adresem: https://motherboard.vice.com/read/the-internet-of-things-will-cause-the-first-ever-large-scale-internet-disaster